QRAdar - у AQL нет жизнеспособной альтернативы при вводе SELECT

Question

QRAdar - у AQL нет жизнеспособной альтернативы при вводе SELECT

Я получаю сообщение об ошибке при попытке использовать этот запрос. Работает на вкладке расширенного поиска в журнале активности. Но когда я записываю его в область запросов фильтра AQL мастера правил, он запрашивает AQL no viable alternative at input SELECT предупреждение Я получил этот запрос от Sigma Translater, кстати.

SELECT UTF8(payload) as search_payload from events where (((LOGSOURCETYPENAME(devicetype) ilike 'Microsoft Windows Security Event Log')) and ((("EventID"='1' and search_payload ilike 'C:\Windows\SysWOW64\cmd.exe' and search_payload ilike '%\Windows\Caches\NavShExt.dll %')) or (("EventID"='1' and search_payload ilike '%\AppData\Roaming\MICROS~1\Windows\Caches\NavShExt.dll,Setting'))))

0

aql soc

Источник

user3706619 14 июн '18 в 07:03

1 ответ

Другие вопросы по тегам aql soc

user10542178 22 окт '18 в 18:14 2018-10-22 18:14 · Answer 1 · 2018-10-22 18:14

При создании правил в QRadar на основе AQL вы ставите только те операторы, которые идут после WHERE.

В твоем случае:

(((LOGSOURCETYPENAME(devicetype) ilike 'Microsoft Windows Security Event Log')) and ((("EventID"='1' and search_payload ilike 'C:\Windows\SysWOW64\cmd.exe' and search_payload ilike '%\Windows\Caches\NavShExt.dll %')) or (("EventID"='1' and search_payload ilike '%\AppData\Roaming\MICROS~1\Windows\Caches\NavShExt.dll,Setting'))))

Затем он выполнит этот оператор против журналов и вызовет нарушения.